Stratégie

La France retrouve espoir quant au devenir de SecNumCloud

Clara Chappaz, ministre déléguée à l’IA et au Numérique, lors de la journée ‘L’Etat dans le nuage’, organisée par la Direction interministérielle du numérique : « je continuerai à porter le niveau d’exigence de SecNumCloud au niveau européen ».

Les coups de menton de l'administration Trump vont-ils relancer l'extension du SecNumCloud à l'échelle européenne ? C'est l'espoir que fonde la ministre Clara Chappaz. Un revirement alors que la France apparaissait jusqu'à récemment de plus en plus isolée sur ce dossier au sein de l'Union.

Publicité« Nous nous sommes sentis un peu seuls ces dernières années, mais la question est aujourd'hui vue différemment au sein de l'Europe. Les choses évoluent, et je continuerai à porter le niveau d'exigence de SecNumCloud au niveau européen. » Lors d'une journée 'L'Etat dans le nuage', organisée le 18 mars par la Direction interministérielle du numérique (Dinum), la ministre déléguée à l'IA et au Numérique Clara Chappaz a témoigné d'un certain changement d'état d'esprit sur le Vieux Continent concernant le schéma européen de certification des services cloud (EUCS), porté par l'Enisa, l'agence en charge de la cybersécurité au sein de l'Union.

Alors que les versions initiales de ce schéma prévoyaient un niveau aligné sur le label SecNumCloud français - niveau offrant une protection contre les lois extra-territoriales américaines mais aussi chinoises, selon ses défenseurs -, EUCS en avait été expurgé début 2024, sous la pression de l'administration américaine. A l'été 2024, la CNIL puis la Commission supérieure du numérique et des postes (CSNP) s'étaient émues des conséquences potentielles de la disparition programmée de ce niveau d'exigence, baptisée High+. Label hexagonal SecNumCloud rendu caduque, difficultés d'application de certaines lois hexagonales (dont la loi SREN), voire menace juridique sur les appels d'offres faisant référence au niveau de protection le plus exigeant : les alertes étaient multiples et faisaient planer un doute sur l'avenir de SecNumCloud.

8 prestataires certifiés, une dizaine d'autres en cours

Or cette certification, délivrée par l'Anssi, est une des pierres angulaires de la stratégie cloud de l'Etat. Sa doctrine prévoit que l'hébergement de toute donnée « à caractère personnel ou non, d'une sensibilité particulière et dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle » soit assurée soit sur un cloud à la main de l'Etat (Pi au ministère de l'Intérieur ou Nubo à Bercy), soit chez un prestataire dont l'offre est labellisée. Cette préconisation s'étend aux systèmes d'information de niveau de diffusion restreinte, comme l'a précisé l'Anssi dans un guide datant de juillet dernier.

L'éventuelle suppression du niveau High+ d'EUCS aurait donc constitué une sérieuse menace sur le développement de l'offre SecNumCloud, qui compte actuellement 8 prestataires certifiés pour un ou plusieurs de leurs services (dont Cegedim, Cloud Temple, OVH ou Outscale) et une dizaine d'autres engagés dans le processus de validation (dont Free Pro, NumSpot, Orange Business, Scaleway, SFR et Thalès avec Bleu). Afin de conforter le développement de l'offre, l'Etat publie d'ailleurs une liste des services prioritaires SecNumCloud dont il a besoin, « des services sur lesquels les prestataires ont des garanties de trouver des débouchés », résume Vincent Coudrin, le directeur de projet interministériel cloud de la Dinum.

Publicité« Un projet lancé par jour »

Selon les chiffres donnés par la DSI de l'Etat, la sphère publique a commandé pour 52 M€ de services cloud via le marché appelé nuage public de l'Ugap, la centrale d'achat de l'Etat, contre 34 M€ un an plus tôt (soit un bond de 53%). Ce véhicule d'achat permet aux acteurs de la sphère publique ou parapublique d'accéder à toute une série de services cloud IaaS et PaaS, proposés par une douzaine d'offreurs, en passant par un prestataire unique, renouvelé récemment (Crayon ayant supplanté Capgemini). « Nous sommes sur un rythme assez constant d'un projet lancé par jour via ce marché », assure Vincent Coudrin.

SecNumCloud : un marché de moins de 20 M€ ?

Si le marché Ugap ne consolide pas l'ensemble de la dépense publique sur le cloud - la Dinum estime qu'il regroupe environ 60% de la dépense de l'Etat et de ses opérateurs, hors SaaS -, il donne une idée du poids de l'activité SecNumCloud. Car celle-ci représente un tiers de la dépense passant par l'Ugap l'an dernier, soit une part identique à celle dévolue aux hyperscalers américains. En valeur absolue, moins de 20 M€. Une dépense d'ailleurs largement concentrée sur le seul Etat central, chez qui la part de la dépense sur des offres labellisées atteint 63%, contre presque rien pour les hyperscalers, assure la Dinum. « Vous pouvez soulever toutes les poubelles que vous voulez dans les ministères, vous n'y trouverez pas beaucoup de contrats d'hyperscalers », lance Vincent Coudrin. Excepté sur la bureautique toutefois.

Ces chiffres montrent aussi que le label peine à se répandre en dehors de la seule sphère de l'Etat central. En raison de services encore peu nombreux, parfois pas toujours très aboutis et invariablement plus chers (on parle d'un surcoût de 15 à 20% selon nos différentes sources). « Nous estimons à 20% la part des systèmes d'information des grandes entreprises et administrations qui seraient éligibles aux offres SecNumCloud. Aujourd'hui, ces offres sont plus chères, car le marché reste limité, note Vincent Coudrin. Pour le faire grossir, il nous faut passer à l'échelle européenne. »